CAP_DAC_OVERRIDE e outras permisões

2

Quem pode ver o conteúdo do meu diretório além do root? O que é o CAP_DAC_OVERRIDE? O sysadmin pode dar esse privilégio ao meu conteúdo para algum usuário?

Meu entendimento é que alguém com privilégio CAP_DAC_OVERRIDE pode entrar e ver o conteúdo de qualquer diretório, mesmo que a permissão esteja definida como chmod 600 . Se assim for, há uma maneira que eu sei se alguém tem esse privilégio para meus diretórios.

Meu chefe estava se esforçando muito para me espionar, e ultimamente eu sinto que ele convenceu o administrador do sistema a fazer um favor a ele. Agora ele parece muito familiar sobre o que estou fazendo e sobre alguns arquivos no meu diretório. Eu não tenho nada a esconder, mas assustado por ser monitorado por alguém o tempo todo.

Se não por CAP_DAC_OVERRIDE existe alguma pessoa que não seja root veja o conteúdo dos meus diretórios?

    
por Judith 24.11.2017 / 01:07

1 resposta

4

CAP_DAC_OVERRIDE é uma capacidade do processo , não está anexado a arquivos específicos. Para processos que o possuem em seu conjunto de recursos efetivos, as verificações de permissão de DAC (leitura / gravação / execução) são ignoradas completamente. Isso é semelhante a como as verificações de permissão do DAC são ignoradas para o root.

A concessão de acesso compartilhado a arquivos usando esse recurso é extremamente grosseira (on / off), pois ignoraria todos controles de acesso DAC para tudo . Ter o recurso é essencialmente o mesmo que ser root [1] . Nenhum administrador de sistemas responsável e competente daria acesso root às máquinas que eles administram para pessoas que não precisam dele.

Existem outros mecanismos de controle de acesso que permitem configuração detalhada, por exemplo, POSIX Access Control Listas (ACL) . Eles podem ser configurados por arquivo / diretório para permitir o acesso de usuário (s) / grupo (s) que o acesso normal ao DAC impediria.

Se o sistema que você está usando não for gerenciado por você, não há muito o que fazer para contornar as políticas definidas pelo administrador do sistema. Você poderia usar criptografia de arquivo adicional no seu cliente, o que manteria seus dados privados.

Seu chefe monitorando você no trabalho não é realmente um problema técnico, mas uma questão social. Uma solução técnica não resolverá a situação.

    
por 24.11.2017 / 01:17